服務關(guān)聯(lián)角色
服務關(guān)聯(lián)角色是一種可信實體為阿里云服務的RAM角色。KMS使用服務關(guān)聯(lián)角色獲取其他云服務或云資源的訪問權(quán)限。通常情況下,服務關(guān)聯(lián)角色是在您執(zhí)行某項操作時,由系統(tǒng)自動創(chuàng)建。在自動創(chuàng)建服務關(guān)聯(lián)角色失敗時,您需要手動創(chuàng)建服務關(guān)聯(lián)角色。
應用場景
KMS會在以下場景中,為您自動創(chuàng)建服務關(guān)聯(lián)角色并進行授權(quán):
場景一:啟用KMS實例時
KMS會自動創(chuàng)建服務關(guān)聯(lián)角色AliyunServiceRoleForKMSKeyStore,用于允許KMS訪問ECS、VPC、日志服務等服務。該服務關(guān)聯(lián)角色會自動授權(quán)權(quán)限策略AliyunServiceRolePolicyForKMSKeyStore。
場景二:創(chuàng)建ECS憑據(jù)時
KMS會自動創(chuàng)建服務關(guān)聯(lián)角色AliyunServiceRoleForKMSSecretsManagerForECS,用于允許KMS訪問ECS,以管理并輪轉(zhuǎn)ECS憑據(jù)。該服務關(guān)聯(lián)角色會自動授權(quán)權(quán)限策略AliyunServiceRolePolicyForKMSSecretsManagerForECS。
場景三:創(chuàng)建RDS憑據(jù)時
KMS會自動創(chuàng)建服務關(guān)聯(lián)角色AliyunServiceRoleForKMSSecretsManagerForRDS,用于允許KMS訪問RDS,以管理并輪轉(zhuǎn)RDS憑據(jù)。該服務關(guān)聯(lián)角色會自動授權(quán)權(quán)限策略AliyunServiceRolePolicyForKMSSecretsManagerForRDS。
場景四:創(chuàng)建Redis憑據(jù)時
KMS會自動創(chuàng)建服務關(guān)聯(lián)角色AliyunServiceRoleForKMSSecretsManagerForRedis,用于允許KMS訪問Redis,以管理并輪轉(zhuǎn)Redis憑據(jù)。該服務關(guān)聯(lián)角色會自動授權(quán)權(quán)限策略AliyunServiceRoleForKMSSecretsManagerForRedis。
RAM用戶使用服務關(guān)聯(lián)角色需要的權(quán)限
如果使用RAM用戶創(chuàng)建或刪除服務關(guān)聯(lián)角色,必須聯(lián)系管理員為該RAM用戶授予管理員權(quán)限(AliyunKMSFullAccess)或在自定義權(quán)限策略的Action語句中為RAM用戶添加以下權(quán)限:
創(chuàng)建服務關(guān)聯(lián)角色:
ram:CreateServiceLinkedRole刪除服務關(guān)聯(lián)角色:
ram:DeleteServiceLinkedRole
{
"Action": [
"ram:CreateServiceLinkedRole",
"ram:DeleteServiceLinkedRole"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"keystore.kms.aliyuncs.com",
"secretsmanager-ecs.kms.aliyuncs.com",
"secretsmanager-rds.kms.aliyuncs.com",
"secretsmanager-redis.kms.aliyuncs.com"
]
}
}
}關(guān)于授權(quán)的詳細操作,請參見創(chuàng)建和刪除服務關(guān)聯(lián)角色所需的權(quán)限和為RAM用戶授權(quán)。
創(chuàng)建服務關(guān)聯(lián)角色
系統(tǒng)會在以下場景中自動創(chuàng)建服務關(guān)聯(lián)角色:
AliyunServiceRoleForKMSKeyStore:啟用KMS實例時。
AliyunServiceRoleForKMSSecretsManagerForECS:創(chuàng)建ECS憑據(jù)時。
AliyunServiceRoleForKMSSecretsManagerForRDS:創(chuàng)建RDS憑據(jù)時。
AliyunServiceRoleForKMSSecretsManagerForRedis:創(chuàng)建Redis憑據(jù)時。
服務關(guān)聯(lián)角色創(chuàng)建成功后,受信云服務可以通過角色扮演的方式跨服務訪問對應云資源,可能會因創(chuàng)建KMS實例、使用日志服務而產(chǎn)生資費,請您知悉。
查看服務關(guān)聯(lián)角色
當服務關(guān)聯(lián)角色創(chuàng)建成功后,您可以在RAM控制臺的角色頁面,通過搜索角色ID(以AliyunServiceRoleForKMSKeyStore為例)查看該服務關(guān)聯(lián)角色的以下信息:
基本信息
在AliyunServiceRoleForKMSKeyStore角色詳情頁面的基本信息區(qū)域,查看角色基本信息,包括角色名稱、創(chuàng)建時間、角色ARN和備注等。
權(quán)限策略
在AliyunServiceRoleForKMSKeyStore角色詳情頁面的權(quán)限管理頁簽,單擊權(quán)限策略名稱,查看權(quán)限策略內(nèi)容以及該角色可授權(quán)訪問哪些云資源。
信任策略
在AliyunServiceRoleForKMSKeyStore角色詳情頁的信任策略管理頁簽,查看信任策略內(nèi)容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體用戶身份。服務關(guān)聯(lián)角色的可信實體為云服務,您可以通過信任策略中的
Service字段查看。
關(guān)于如何查看服務關(guān)聯(lián)角色的詳細操作,請參見查看RAM角色。
刪除服務關(guān)聯(lián)角色
刪除服務關(guān)聯(lián)角色后,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
當賬號下沒有任何KMS的資源時,系統(tǒng)會自動刪除服務關(guān)聯(lián)角色,無需您執(zhí)行任何操作。
當您長時間不使用KMS時,您可以在RAM控制臺手動刪除服務關(guān)聯(lián)角色。
刪除前,您需要滿足以下條件:賬號下的所有實例已被釋放。
具體操作,請參見刪除RAM角色。